龙腾出行网某重要后台XSS(已打管理Cookie登录)

https://xgt2015.dragonpass.com.cn:58124 龙腾出行网管理后台
 

1.jpg





输入点:

https://bp.dragonpass.com.cn/about/addCustomerShare

POST数据:customerShare.sid=CN&customerShare.titleStr=aaa&customerShare.contextStr=bbb



Cookie中的JSESSIONID使用了httponly保护,没能被js读取,但使用假登录页轻轻松松钓到了管理的登录账号和密码:
 

2.jpg



登录后台,非常多的功能设置:
 

3.jpg


 

4.jpg


 

5.jpg

3.jpg


 

4.jpg


 

5.jpg

解决方案:

过滤用户提交的参数